shiro的前后的分离的使用(SpringBoot)

已于 2022-09-22 21:47:16 修改
阅读量1.1k 收藏
点赞数
文章标签: spring boot java 后端
于 2022-09-22 21:45:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55127182/article/details/126999542
版权

一、Shiro核心组件

shiro的运行机制

一、Shiro实现登录认证()

       1.首先继承 AuthorizingRealm 类,用于实现登录和认证

        分别实现两个方法

doGetAuthorizationInfo        //用于授权

doGetAuthenticationInfo       //用于认证

        2.首先需要封装用户的信息,因为用户名和密码已经传进来了,并且封装到了方法参数AuthenticationToken  中的  authenticationToken  内部,所以要获取用户的信息,比如账号和密码,就需要获取  UsernamePasswordToken  的Token。

        3.获取Token之后然后取得Token中用户的用户名,从数据库查询用户的信息并返回。拿到用户的信息之后判断用户是否存在。

        4.如果数据库查询的对象不为空:验证完用户存在之后,要验证密码就需要创建  SimpleAuthenticationInfo  的对象,并把数据库查询到的用户user,用户的密码user.getPassword()和getName()传进参数位置中。最后把创建的SimpleAuthenticationInfo  对象返回。        

        5.SimpleAuthenticationInfo 是把传进来的用户数据,即Token获得的密码和数据库获得的密码进行对比来判断密码是否正确。

        6.如果数据库查询的对象为空:则返回null。

 /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken;
        User user = userService.selectByUserName(usernamePasswordToken.getUsername());
        if(user!=null){
            return new SimpleAuthenticationInfo(user,user.getPassword(),getName());
        }
        return null;
    }

二、  Shiro配置类的配置

       1. 配置安全管理器,开发者自定义的Realm需要注入进 DefaultWebSecurityManager进行管理才能生效。

       2. 自定义的UserRealm

     

​
package com.realm;

import com.domain.User;
import com.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;
@Component
public class UserRealm extends AuthorizingRealm{


    @Autowired
    private UserService userService;
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        Set<String> roles=new HashSet<>();
        roles.add(user.getUsername());
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();

        return null;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken;
        User user = userService.selectByUserName(usernamePasswordToken.getUsername());
        if(user!=null){
            return new SimpleAuthenticationInfo(user,user.getPassword(),getName());
        }
        return null;
    }
}

​

          3.注入自定义的Realm

@Bean
public UserRealm userRealm(){
    return new UserRealm();
}

        4.创建安全管理器,并将自定义的UserRealm注入管理器中

                使用 @Qualifier (" userRealm ") 注释可根据名称注入方法中

@Bean
public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
    DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
    manager.setRealm(userRealm);
    return manager;
}

        5.创建过滤器工厂

                注入安全管理器  DefaultWebSecurityManager 

                其中的编写认证和授权规则

                      创建过滤器工厂ShiroFilterFactoryBean并在过滤器工厂中设置安全管理器

ShiroFilterFactoryBean factoryBean=new ShiroFilterFactoryBean();    //创建过滤器工厂
factoryBean.setSecurityManager(defaultWebSecurityManager);  //设置

                进行权限设置 

Map<String,String> map=new HashMap<>();
map.put("/student/menu","authc");
factoryBean.setFilterChainDefinitionMap(map);   //设置拦截的地址和认证过滤器
factoryBean.setLoginUrl("/user/entry");     //设置允许访问的地址用来登录

                最终代码

package com.config;

import com.realm.UserRealm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

@Configuration
public class ShiroConfig {
    /**
     *
     * @return
     */
    @Bean
    public UserRealm userRealm(){
        return new UserRealm();
    }

    /**
     *
     * @param userRealm
     * @return
     */
    @Bean
    public DefaultWebSecurityManager defaultWebSecurityManager(@Qualifier("userRealm") UserRealm userRealm){
        DefaultWebSecurityManager manager=new DefaultWebSecurityManager();
        manager.setRealm(userRealm);
        return manager;
    }

    /**
     *authc登陆验证
     * anon无需登录
     * @param defaultWebSecurityManager
     * @return
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilterFactoryBean(@Qualifier("defaultWebSecurityManager") DefaultWebSecurityManager defaultWebSecurityManager){
        ShiroFilterFactoryBean factoryBean=new ShiroFilterFactoryBean();    //创建过滤器工厂
        factoryBean.setSecurityManager(defaultWebSecurityManager);  //设置
        Map<String,String> map=new HashMap<>();
        map.put("/student/menu","authc");
        factoryBean.setFilterChainDefinitionMap(map);   //设置拦截的地址和认证过滤器
        factoryBean.setLoginUrl("/user/entry");     //设置允许访问的地址用来登录
        return factoryBean;
    }
}

三、在Controller层进行配置

                

@RequestMapping("/login")
    @ResponseBody
    public R<String> login(User user,HttpServletRequest request){
        Subject subject = SecurityUtils.getSubject();//获取用户的信息
        String tmppassword=user.getPassword();  //进行加密,保证密码验证成功,因为数据库存储的密码已MD5加密
        tmppassword=DigestUtils.md5DigestAsHex(tmppassword.getBytes());
        UsernamePasswordToken token=new UsernamePasswordToken(user.getUsername(),tmppassword);//使用用户信息创建Token令牌
        try {
            subject.login(token);//将生成的Token用于身份验证,跳转AuthenticationInfo认证,进行认证
            User userPrincipal = (User) subject.getPrincipal();
            request.getSession().setAttribute("account",user.getUsername());
            return R.success("登陆成功");
        } catch (UnknownAccountException e) {
            e.printStackTrace();
            return R.error("账号不存在");
        } catch(IncorrectCredentialsException e){
            e.printStackTrace();
            return R.error("密码错误");
        }

    }

四、Shiro实现授权

        

/**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前用户信息
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        //设置角色
        Set<String> roles=new HashSet<>();
        roles.add(user.getUsername());
        //设置权限
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();

        return authorizationInfo;
    }

        总代码

package com.realm;

import com.domain.User;
import com.service.UserService;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.*;
import org.apache.shiro.authz.AuthorizationInfo;
import org.apache.shiro.authz.SimpleAuthorizationInfo;
import org.apache.shiro.realm.AuthorizingRealm;
import org.apache.shiro.subject.PrincipalCollection;
import org.apache.shiro.subject.Subject;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;
@Component
public class UserRealm extends AuthorizingRealm{


    @Autowired
    private UserService userService;
    /**
     * 授权
     * @param principalCollection
     * @return
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {
        //获取当前用户信息
        Subject subject = SecurityUtils.getSubject();
        User user = (User) subject.getPrincipal();
        //设置角色
        Set<String> roles=new HashSet<>();
        roles.add(user.getUsername());
        //设置权限
        SimpleAuthorizationInfo authorizationInfo=new SimpleAuthorizationInfo();

        return authorizationInfo;
    }

    /**
     * 认证
     * @param authenticationToken
     * @return
     * @throws AuthenticationException
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {
        UsernamePasswordToken usernamePasswordToken= (UsernamePasswordToken) authenticationToken;
        User user = userService.selectByUserName(usernamePasswordToken.getUsername());
        if(user!=null){
            return new SimpleAuthenticationInfo(user,user.getPassword(),getName());
        }
        return null;
    }
}

五、退出

        Controller层创建Logout

        

@RequestMapping("/logout")
    @ResponseBody
    public R<String> logout(){
        Subject subject = SecurityUtils.getSubject();//获取用户信息
        subject.logout();//取消认证和授权
        return R.success("退出");
    }

        如果退出则调用该接口,则实现认证取消

梁山教父
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于shiro前后端分离分布式权限管理(完整后端代码)
07-26
前后端分离,前端系统只有html、js 权限管理为shiro,缓存为redis集群 策略:sessionid不随机生成,使用url+用户名作为sessionId
Springboot+Vue+shiro实现前后端分离、权限控制的示例代码
08-18
主要介绍了Springboot+Vue+shiro实现前后端分离、权限控制的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot + Shiro实现后端分离接口安全框架
09-02
SpringBoot-Shiro前后端分离框架,通过shiro控制权限,实现后端分离接口安全。
shiro整合springboot前后端分离
08-25
主要介绍了shiro整合springboot前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
shiro 前后端分离_Spring Boot整合Shiro实现前后端分离
weixin_39774808的博客
12-08 464
作者|GIT提交不上|简书一、Shiro简介  Apache ShiroJava的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提供一个直观而全面的认证,授权,加密及会话管理的解决方案。  Shiro基本功能点如下所示:图1.1 Shiro基本功能点.png  Shiro工作流程如下所示:图1.2 Shiro工作流程-应用程序角度.png  Shiro内部架构如下所示:图1.3...
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发
06-15
使用SpringBoot+SpringJPA+Swagger+Shiro快速搭建前后端分离的权限管理系统源码,方便二次开发,项目经过严格测试,确保可以运行! 快速搭建前后端分离的权限管理系统 提供一套基于SpringBoo+shiro的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限。 并没有加加密等过多限制,避免增加大家学习的负担。 #####本文只是提供一套基于shiro前后端分离的思路。 根据这个思路我们可以最终使用Spring的拦截器,或者servlet的Filter实现同样的权限管理 快速搭建前后端分离的权限管理系统 提供一套基于SpringBoo+shiro的权限管理思路. 前后端都加以控制,做到按钮/接口级别的权限。 并没有加加密等过多限制,避免增加大家学习的负担。 #####本文只是提供一套基于shiro前后端分离的思路。 根据这个思路我们可以最终使用Spring的拦截器,或者servlet的Filter实现同样的权限管理 快速搭建前后端分离的权限管理系统 提供一套基于SpringBoo+shiro的权限管理思路. 前后端都加以控制,做到按钮/接口级
SpringBoot+Shiro框架整合实现前后端分离的权限管理基础Demo
蚂蚁舞
03-29 2307
记录一下使用SpringBoot集成Shiro框架实现前后端分离Web项目的过程,后端使用SpringBoot整合Shiro,前端使用vue+elementUI,达到前后端使用token来进行交互的应用,这种方式通常叫做无状态,后端只需要使用Shiro框架根据前端传来的token信息授权访问相应资源。
Springboot+Vue+Shiro+ElementUI前后端分离权限快速上手项目实战开发
09-09
适用人群Java开发人员,Vue开发人员,前后端分离开发人员,权限管理和配置开发人员课程概述【讲师介绍】讲师职称:              现某知名大型互联网公司资深架构师,技术总监,职业规划师,首席面试官,曾在某上市培训机构,高校任教多年。            Array(Array老师)10多年互联网公司实战经验,知名的大型互联网公司的架构师,高管等职,在企业长期从事于技术的源码阅读和新技术的研究;擅长于职业规划,面试辅导,从事面试官多年;擅长于JAVA,人工智能AI应用,Xmind等等,曾服役于国内某上市培训机构数年,独特的培训思路,培训体系,培训方式,实践的职场技能,职场现状,职场晋升等让你快速适应企业职场的所需。 【课程介绍】技术选型开发环境:Eclipse/Idea ,JDK 1.8以上 后端技术核心框架:SpringBoot2.x框架系列(同样适用Springcloud F版本以后的版本),如下(节选):    持久层框架:MyBatis 3.x + Mybatis-plus 3.x日志管理:SLF4J 1.7 + Log4j2 2.7工具类:Apache Commons、Jackson 、fastjson、Gson权限验证前端技术  Vue  Vue-cliElementUI ---https://element.eleme.io/JSX (JavaScript Xml)前台的权限验证和路由设置开发模式       前后端分离的开发数据库       Mysql5IDE    Intellij Idea
Springboot +Shiro +VUE 前后端分离式权限管理系统
y19910825的博客
01-18 2141
Springboot +Shiro +VUE 前后端分离式权限管理系统
shiro前后端分离(基于jwt的token安全认证)
weixin_45390688的博客
12-25 5849
前后端分离项目与传统的一体式项目有所不同,用户安全验证的方式不太一样,前后端分离项目不能像一体式项目那样使用session验证,所以一般使用token验证。废话不多说,直接上代码。 主要代码: 一、JwtUtil Jwt即java web token,是比较成熟的token方案,JwtUtil里面有生成token的方法、校验token是否有效是否过期的方法、以及通过token获取解析值的方法,这里我们可以设置token的有效时间。 @Component public class JwtUtil {
Spring boot整合shiro+jwt实现前后端分离
08-25
主要为大家详细介绍了Spring boot整合shiro+jwt实现前后端分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot + Shiro前后端分离权限
08-25
主要为大家详细介绍了SpringBoot + Shiro前后端分离权限,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
前后端分离架构使用shiro框架进行登录的两种实现
热门推荐
lijunfeng的博客
02-25 2万+
方法一:重写FormAuthenticationFilter原理:假设在shiro.xml中配置了 /** = authc而默认authc对应org.apache.shiro.web.filter.authc.FormAuthenticationFilter过滤器则表示所有路径都被此过滤器拦截 当未登录请求被拦截,会调用FormAuthenticationFilter.onAccessDeny()...
SpringMVC整合shiro、自定义sessionManager实现前后端分离
橙子的博客
03-25 5309
前端从后端剥离,形成一个前端工程,前端只利用Json来和后端进行交互,后端不返回页面,只返回Json数据。前后端之间完全通过public API约定。 1 自定义Realms Shiro从Realm获取安全数据(如用户、角色、权限):就是说SecurityManager要验证用户身份,那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法;也需要从Realm得到用户相应的角色/权限进...
前后端分离的项目整合shiro安全框架
Dumpling_skin的博客
08-09 1864
前置路由守卫:就是在路由跳转前加上自己的一些业务代码,未登录之前输入其他路径,不放行,跳转至登录页面。在main.js文件中加入以下代码。
shiro前后端分离模式
weixin_42510217的博客
11-25 740
在上一篇《shiro的简单认证和授权》中介绍了shiro的搭建,默认情况下,shiro是通过设置cookie,使前端请求带有“JSESSION”cookie,后端通过获取该cookie判断用户是否登录以及授权。但是在前后端分离模式中,前后端不在同一个域内,后端无法自动给请求添加cookie,因而默认的模式不能实现正常的认证授权逻辑。
Springboot+jwt+shiro实现前后端分离权限验证
码码码码码码农的博客
09-08 1672
Springboot+jwt+shiro实现前后端分离权限验证
前后端分离项目中使用Shiro
qq_42814833的博客
06-21 2829
本文是我在前后端分离项目中使用Shiro遇到的问题和解决方法的汇总总结,包括对各种情况的分析和思考。开始我使用Cookie,发现在http环境的跨域不能携带Cookie,于是我转为使用JWT来进行传输。此次没有出现登录失败的情况,但每次访问接口都需要访问数据库获取权限和其他内容,正确的操作是进行缓存,但重新写一个用户的缓存管理不如使用现成的。所以我结合二者,使用自定义的请求头携带标识,获取Session。.........
快速构建Spring boot项目
最新发布
Fxdll的博客
04-22 553
2、运行4、开发环境热部署查看目前已有的依赖。
springboot shiro 前后端分离
09-23
SpringBoot实现前后端分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加ShiroSpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值